ブログ

ソーシャルエンジニアリングとは?5つの事例や効果的な対策を解説!

2025/01/07 ブログ

 

ソーシャルエンジニアリングの事例が気になるけれど、特徴や内容は?

 

ソーシャルエンジニアリングの事例には、どのような被害事例があるのでしょうか。

 

今回は、ソーシャルエンジニアリングの被害事例を5つ解説します。また、代表的な手口や効果的な対策もまとめました。

 

これを読めば、ソーシャルエンジニアリングの被害事例から、特徴や種類を知れて、より効果的な対策を実施できるようになります。

 

先に結論を言うと、ソーシャルエンジニアリングには様々な手口がありますが、なりすましなどの古典的な手法が多いため、すぐに信用しないことが基本的な対策ですよ。

 

ソーシャルエンジニアリングとは?

ソーシャルエンジニアリングとは、ネットワークにログインするために必要なパスワードなどの重要な情報を、情報通信技術を使わずに盗み取る攻撃方法です。

 

アナログ的な手法で、人間の心理的な隙や行動のミスに巧妙につけこみ、情報を盗み取るといった特徴があるため、重要な情報を扱う際には周りを警戒しなければなりません。

 

例えば、他人のスマホやPCの画面を覗き見し、IDやパスワードを盗み取ることや、企業の関係者になりすまし電話をかけ、個人・機密情報を聞き出すことが挙げられます。

 

ソーシャルエンジニアリングは、システムの技術的な脆弱性ではなく関係者になりすまして行われるため、企業はもちろん個人においても情報を守る上で、十分なセキュリティ対策を実施しましょう。

 

ソーシャルエンジニアリングの5つの被害事例

サイバー攻撃の巧妙化に伴い、ソーシャルエンジニアリングを用いた攻撃は増加傾向にあります。日本でもいくつかの被害が発生しているため、その実例と内容を把握し、効果的な対策を実施することが大切です。

 

では、ソーシャルエンジニアリングの5つの被害事例について、具体的に見ていきましょう。

 

年金機構の情報漏洩

2015年、日本年金機構で基礎年金番号と顧客の氏名・生年月日・住所など計125万件が流出する情報漏洩事件が発生しました。

 

日本年金機構に勤務する従業員に対して、外部のアドレスから「医療通知費」に関する提言を装った件名で標的型メールが届き、そのメールの添付ファイルを開封したことが原因とされています。

 

ファイル開封に伴い、不審な通信が生じたことから、端末がマルウェア感染しネットワークを隔離して社内で注意喚起が行われました。

 

日本航空の金銭被害

2017年、大手日本航空会社がリバース・ソーシャル・エンジニアリングを受け、金銭被害に遭う事件が発生しました。

 

クライアントになりすました攻撃者から、リース費用の振込先変更を通知するメールが届き、担当者が偽の振込先に振り込んでしまったことが原因とされています。

 

新しい偽の振込先に3億6000万円を振り込んだ後、正規の振込先から支払いの遅延を指摘されて事件が発覚した事例です。

 

暗号資産取引所における仮想通貨の流出

2018年、仮想通貨を取り扱う暗号資産取引所運営会社において、仮想通貨が不正流出する事件が発生しました。

 

攻撃者は、運営会社の従業員と接触することで管理者権限を持つ担当者を特定し、十分な信頼関係を築いた上でスパイウェアを仕込んだメールを送付しました。

 

その結果、担当者のPCを介してウイルスに感染し不正アクセスの手掛かりを得たことで、同社が保管していた仮想通貨から約580億円を不正流出させた事件です。

 

県立病院における医師の個人情報流出

2018年、とある県立病院で医師を装った攻撃者によって、同病院に勤務している研修医52名分の氏名及び携帯電話の番号が外部へ流出する事件が発生しました。

 

攻撃者がなりすまし電話を利用して個人情報を尋ねたところ、対応した事務員が口頭で情報を伝えてしまったことが原因とされています。

 

電話後に上司が不審に思い、内容を確認したところ個人情報を盗むための虚偽の問い合わせであったことが判明しました。

 

SNSでのアカウント乗っ取り被害

金融機関や医療機関などの大手企業以外でも、SNSでソーシャルエンジニアリングの被害を受けた事件もあります。

 

芸能人や著名なタレントなどの有名人のアカウントが乗っ取られることで、世界中に詐欺メッセージが送信され、社会的にも大きな影響を与えかねません。

 

攻撃者は、電話でSNSの従業員からIDやパスワードを聞き出し、アカウントの乗っ取りに成功する事例が多いです。

 

ソーシャルエンジニアリングの代表的な手口

攻撃者は、ソーシャルエンジニアリングを実行するために、アカウント情報やネットワーク情報などの必要な情報を収集します。ソーシャルエンジニアリングに該当する基本的な手口を知り、効果的な対策を実施することが大切です。

 

では、ソーシャルエンジニアリングの代表的な手口について、具体的に見ていきましょう。

 

関係者へのなりすまし

ソーシャルエンジニアリングで最も知られている手口は、関係者へのなりすましです。

 

関係者になりすまして「氏名や住所を教えて下さい」などと、電話やメールで聞き出す手法があります。

 

IDやパスワードなどの秘匿性の高い情報は教えない意識があっても、電話番号や生年月日などの情報を安易に教えてしまうケースは後を絶ちません。

 

単純な手口ですが、取引先や知人を名乗る人物からの連絡に対して、個人情報や機密情報を伝えてしまう方が多いため、関係者であってもすぐには信用せず、きちんと本人確認を行いましょう

 

ショルダーハッキング

ショルダーハッキングは、PCやスマホ画面を背後や肩越しから覗き見て、個人情報や認証情報を盗み取る手口です。

 

PCからパスワードなどの重要情報を入力している様子やディスプレイ画面の表示内容を背後から覗き見されて情報収集されることが該当します。

 

なりすましと同じく単純な手法ですが、パスワードを使い回している方が多いことから、パスワードを知られてしまうと大きな被害に発展しやすいです。

 

痕跡が残らず、ツールや準備もないため、カフェや人混みなどの社外では極力デバイスを利用しないように意識しましょう

 

スピアフィッシング攻撃

スピアフィッシング攻撃は、正規のサービス事業者を装ったメールを特定の対象に送り、偽サイトから個人情報の入手と不正利用を試みる犯罪です。

 

従来は、不特定多数を対象にしたフィッシング攻撃が主流でしたが、スピアフィッシング攻撃は、ターゲットに応じたメール内容になっているため、成功率が高い傾向にあります。

 

また、スピアフィッシング攻撃は、企業の従業員や関連企業などを装って攻撃を仕掛けてくるという特徴もあります。

 

そのため、不審なメールはシステム側でシャットアウトすることが効果的な対策となるでしょう。

 

トラッシング

トラッシングは、ごみ箱の中を漁り、個人情報や機密情報が記載された資料やメモなどを拾って不正利用を試みる手口です。

 

ソーシャルエンジニアリングにおいてもよく見られる手法の一つで、捨てられた資料内容からネットワークやサーバのパスワードを盗み取られることがあります。

 

そのため、顧客リストや機密情報が記載された資料を捨てる際は、シュレッダー処理をするなどして内容が分からないようにしなければなりません。

 

また、USBメモリなどの記憶媒体を廃棄する際にも、データを完全に削除して廃棄するようにしましょう。

 

スパイウェア

スパイウェアとは、ネットワーク内部に不正侵入して端末内の情報を盗み取り、第三者に不正に送信するソフトウェアを指します。

 

ネットワークを介して社内PCに感染させ、重要な情報を抜き取る際にも利用されます。

 

スパイウェアは、メールに添付されたファイルのダウンロードや不審なURLのクリックが主な感染経路です。

 

認証情報やクレジットカード情報が漏洩してしまうと、なりすましや金銭被害に発展する危険性も高いため、外部ネットワークに接続しないことや外部から記憶媒体を持ち込まないことが効果的な対策です。

 

スケアウェア

スケアウェアとは、コンピュータがマルウェアに感染したかのように装い、画面上でユーザの不安を煽り、有料ソフトウェアなどのダウンロードや支払いを誘導する手口です。

 

使用しているデバイスの画面上に、「ウイルスに感染しました」「セキュリティに問題があります」などと偽の警告がポップアップで表示されます。

 

中には、悪意のあるソフトウェアをダウンロードさせ、情報を抜き取るケースも珍しくはありません。

 

また、PCだけでなくスマホやタブレットなど他の情報端末も攻撃対象に含まれるため、十分に注意しましょう。

 

リバース・ソーシャル・エンジニアリング

リバース・ソーシャル・エンジニアリングは、ターゲットから攻撃者に連絡をさせるように誘導する手口です。

 

今までの「攻撃者からターゲットにアプローチをする」といったソーシャルエンジニアリングとは逆の手口になります。

 

例えば、電話番号の変更やパスワード変更の要求をターゲットに通知し、ターゲットからの連絡を要求します。

 

重要な通知はメールを使用せずに別の方法で統一したり、メールの対応に関して社内ルールを策定・周知したりして、有効な対策を講じましょう。

 

SNSの悪用

特定の人物になりすまし、秘匿性の高いSNSで接近してターゲットの情報を盗み取る手口があります。

 

即効性はないものの、時間をかけて関係性を築くため、ターゲットは騙されたことに気付かない点が特徴です。

 

そのため、攻撃者はターゲットに警戒心を抱かせることなく、メールを受け取らせることが可能になります。

 

SNSを悪用したソーシャルエンジニアリング対策としては、SNS利用のルールを従業員に教育したり、業務用端末ではSNSを利用しないようにしたりすることが有効と言えるでしょう。

 

ソーシャルエンジニアリングへの効果的な対策

ソーシャルエンジニアリングへの効果的な対策は、主に以下の6つです。

 

・個人・機密情報を取り扱うルールを策定する

・不審なメールの添付ファイルやURLを開封しない

・不正ログイン対策を実施する

・セキュリティソフトを導入する

・入退出管理を徹底する

・SNS利用のルールを策定する

 

ソーシャルエンジニアリングは、人の心理や行動の隙を突いて行われるため、常に警戒心を怠らない対策が必要です。では、それぞれの対策について詳しく解説します。

 

個人・機密情報を取り扱うルールを策定する

ソーシャルエンジニアリングへの効果的な対策1つ目は、個人・機密情報を取り扱うルールを策定することです。

 

なぜなら、従業員の思わぬ行動が情報漏洩に繋がるリスクがあるからです。

 

例えば、「電話で個人情報を尋ねられた際は、その場で回答せず上司に相談する」「機密情報は社外では取り扱わない」「重要情報が記載された書類は必ずシュレッダーで廃棄する」などのルールを策定し、徹底しなければなりません。

 

社内のセキュリティルール策定に加え、従業員に周知・徹底も行い、セキュリティ意識を向上させましょう。

 

不審なメールの添付ファイルやURLを開封しない

ソーシャルエンジニアリングへの効果的な対策2つ目は、不審なメールの添付ファイルやURLを開封しないことです。

 

なぜなら、マルウェアなどのウイルス感染の主な経路になり得る可能性が高いからです。

 

例えば、業務に関係のある企業からのメールや知人からのメールだったとしても不審なメールは開封しないことが基本と言えます。

 

安易に開封してしまうことで、意図せずマルウェアに感染する可能性もあるため、不審なメールは削除したり、開封する必要がある場合は、送信元に確認を取るなどして徹底しましょう。

 

不正ログイン対策を実施する

ソーシャルエンジニアリングへの効果的な対策3つ目は、不正ログイン対策を実施することです。

 

なぜなら、不正ログイン対策を徹底することで、サイバー攻撃全般に対する安全性を高めることが可能だからです。

 

例えば、IDやパスワードなどの「知識情報」、社員証やスマホなどの「所持情報」、指紋や色彩などの「生体情報」といった3つの要素を2つ取り入れた「多要素認証」は不正ログインに効果的な対策と言えます。

 

多要素認証の導入で、一部の認証情報が流出しても不正ログインを防ぐことが可能なため、検討すべき対策でしょう。

 

セキュリティソフトを導入する

ソーシャルエンジニアリングへの効果的な対策4つ目は、セキュリティソフトを導入することです。

 

なぜなら、ウイルスに不正侵入されたり、マルウェアを仕掛けられたりした際に、速やかに検知・検出・駆除が可能になるからです。

 

例えば、ウイルスの侵入を検知しブロックする「アンチウイルスソフト」や、不正侵入を検知する「IDS/IPS」、デバイスやネットワークの監視が行える「EDR/NDR」などは、代表的なツールです。

 

セキュリティソフトを導入するとともに、定期的な更新を実施することでより安全性を高められるでしょう

 

入退出管理を徹底する

ソーシャルエンジニアリングへの効果的な対策5つ目は、入退出管理を徹底することです。

 

なぜなら、なりすまし・ショルダーハッキング・トラッシングなどの攻撃への防止対策に対して、非常に有効だからです。

 

例えば、入退出管理を徹底することで、入室者へのチェックも厳しくなり、全ての行動が記録に残ることになります。

 

また、不審者が現場に立ち入らないように入退出管理を徹底することは、個人情報保護法でもルール化の対象とされており、ソーシャルエンジニアリングの実行が困難となる対策の一つです。

 

SNS利用のルールを策定する

ソーシャルエンジニアリングへの効果的な対策6つ目は、SNS利用のルールを策定することです。

 

なぜなら、近年LINEなどのSNSで業務上のやり取りを行うことが一般化しており、それに伴い情報漏洩のリスクも高まっているからです。

 

例えば、業務に関する情報を誤ってX(旧Twitter)に投稿してしまい、炎上してしまった例はいくつも報告されています。

 

このような事態を未然に防ぐためにも、攻撃者に情報収集する隙を見せないことが重要であるため、SNS利用のルールを策定し従業員への周知も徹底して行いましょう

 

まとめ

今回は、ソーシャルエンジニアリングの5つの被害事例や効果的な対策を解説しました。

ソーシャルエンジニアリングは、関係者へのなりすましやショルダーハッキングなどの古典的な方法から、スピアフィッシング攻撃やスパイウェア感染などの悪意ある攻撃があったりと、攻撃の手口は幅広く存在します。

 

ソーシャルエンジニアリングなどの悪質な攻撃から情報資産を守るため、インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。

詳細はこちらからご確認ください